本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建接入点
<a name="fsxn-creating-access-points"></a>

您可以使用亚马逊 FSx 控制台、CLI、API 和支持创建和管理连接到亚马逊 FSx 卷的 S3 接入点 SDKs。

**注意**  
由于您可能需要公开 S3 接入点名称以便其他用户可以使用该接入点，因此请避免在 S3 接入点名称中包含敏感信息。接入点名称将在称为域名系统（DNS）的可公开访问的数据库中得以发布。有关接入点名称的更多信息，请参阅[接入点命名规则](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules)。

## 所需的权限
<a name="create-ap-permissions"></a>

创建连接到 Amazon FSx 卷的 S3 访问点需要以下权限：
+ `fsx:CreateAndAttachS3AccessPoint`
+ `s3:CreateAccessPoint`
+ `s3:GetAccessPoint`

使用 Amazon FSx 或 S3 控制台创建可选接入点策略需要该`s3:PutAccessPointPolicy`权限。有关更多信息，请参阅 [IAM 接入点策略](s3-ap-manage-access-fsxn.md#access-points-for-fsxn-policies)。

要创建接入点，请参阅以下主题。

**Topics**
+ [所需的权限](#create-ap-permissions)
+ [创建接入点](create-access-points.md)
+ [创建限制到 Virtual Private Cloud 的接入点](access-points-for-fsxn-vpc.md)

# 创建接入点
<a name="create-access-points"></a>

**重要**  
要将 S3 接入点连接到 f FSx or ONTAP 卷，必须安装该卷（具有接合路径）。有关更多详细信息，请参阅 [ONTAP 文档](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html)。

在 FSx 为您的卷创建 S3 接入点时，您的账户中必须已经存在适用于 ONTAP 的卷。

要创建连接到 for ONTAP 卷 FSx 的 S3 接入点，请指定以下属性：
+ 接入点名称。有关接入点命名规则的信息，请参阅[接入点命名规则](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules)。
+ 用于授权使用接入点发出的文件访问请求的文件系统用户身份。在 UNIX 或 Windows 中指定要包含的 POSIX 用户名。有关更多信息，请参阅 [文件系统用户身份和授权](s3-ap-manage-access-fsxn.md#fsxn-file-system-user-identity)。
+ 接入点的网络配置决定了接入点是可以从 Internet 访问还是仅限于特定的虚拟私有云 (VPC) 进行访问。有关更多信息，请参阅 [创建限制到 Virtual Private Cloud 的接入点](access-points-for-fsxn-vpc.md)。

## 创建连接到 FSx 卷的 S3 接入点（FSx 控制台）
<a name="access-points-for-fsxn-create-ap"></a>

1. 打开亚马逊 FSx 控制台，网址为[https://console.aws.amazon.com/fsx/](https://console.amazonaws.cn/fsx/)。

1. 在页面顶部的导航栏中，选择要 Amazon Web Services 区域 在其中创建接入点的。接入点必须在与关联卷相同的区域中创建。

1. 在左侧导航窗格中，选择**卷**。

1. 在**卷**页面上，选择要将接入点连接到的 ONTAP 卷。 FSx 

1. 从 “**操作**” 菜单中选择 “**创建 S3 接入点**”，显示 “**创建 S3 接入点**” 页面。

1. 在**接入点名称**中，输入接入点的名称。有关接入点名称的准则和限制的更多信息，请参阅[接入点命名规则](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules)。

   **数据源详细**信息中填充了您在步骤 3 中选择的卷的信息。

1. Amazon 使用文件系统用户身份 FSx 对使用此访问点发出的文件访问请求进行身份验证。请确保您指定的文件系统用户对 ONTAP 卷具有正确的权限。 FSx 

   对于**文件系统用户身份类型**，请选择 UNIX 或 Windows。

1. 在**用户名**中输入用户的用户名。

1. 在**网络配置**面板中，您可以选择接入点是可以从 Internet 访问，还是只能访问特定的虚拟私有云。

   对于**网络来源**，选择 **Internet** 以使接入点可通过互联网访问，或者选择**虚拟私有云 (VPC)****，然后输入要限制访问接入点的 VPC ID**。

   有关接入点的网络源的更多信息，请参阅[创建限制到 Virtual Private Cloud 的接入点](access-points-for-fsxn-vpc.md)。

1. （可选）在 “**接入点策略-*可选***” 下，指定可选的接入点策略。请务必解决所有政策警告、错误和建议。有关指定接入点策略的更多信息，请参阅 A *mazon 简单存储服务用户指南*中的[配置 IAM 策略以使用接入点](https://docs.amazonaws.cn/AmazonS3/latest/userguide/access-points-policies.html)。

1. 选择**创建接入点**以查看接入点连接配置。

## 创建连接到 FSx 卷的 S3 接入点 (CLI)
<a name="creating-access-point-cli"></a>

以下示例命令创建一个名为的接入点*`my-ontap-ap`*，该接入点已连接到账户*`fsvol-0123456789abcdef9`**`111122223333`*中的 for ONTAP 卷。 FSx 

```
$ aws fsx create-and-attach-s3-access-point --name my-ontap-ap --type ONTAP --ontap-configuration \
   VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
   --s3-access-point VpcConfiguration='{VpcId=vpc-0123467},Policy=access-point-policy-json
```

如果请求成功，系统会通过返回新的 S3 接入点附件进行响应。

```
$ {
  {
     "S3AccessPointAttachment": {
        "CreationTime": 1728935791.8,
        "Lifecycle": "CREATING",
        "LifecycleTransitionReason": {
            "Message": "string"
        },
        "Name": "my-ontap-ap",
        "OntapConfiguration": {
            "VolumeId": "fsvol-0123456789abcdef9",
            "FileSystemIdentity": {
                "Type": "UNIX",
                "UnixUser": {
                    "Name": "ec2-user"
                }
            }
        },
        "S3AccessPoint": {
            "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap",
            "Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias",
            "VpcConfiguration": {
                "VpcId": "vpc-0123467"
        }
     }
  }
}
```

# 创建限制到 Virtual Private Cloud 的接入点
<a name="access-points-for-fsxn-vpc"></a>

创建接入点时，您可以选择允许通过互联网访问接入点，也可以指定通过该接入点发出的所有请求都必须来自特定的 Amazon Virtual Private Cloud。可从 Internet 访问的接入点被认为是具有 `Internet` 网络起源。它可以从互联网上的任何地方使用，但要遵守接入点、底层存储桶或 Amazon FSx 卷以及相关资源（例如请求的对象）的任何其他访问限制。只能从指定的 Amazon VPC 访问的接入点的网络来源为`VPC`，Amazon S3 会拒绝向该接入点发出的并非来自该亚马逊 VPC 的任何请求。

**重要**  
您只能在创建接入点时指定接入点的网络起源。创建接入点后，无法更改其网络起源。

要将接入点限制为仅限 Amazon VPC 的访问，请在创建接入点的请求中加入`VpcConfiguration`参数。在`VpcConfiguration`参数中，您可以指定您希望能够使用接入点的 Amazon VPC ID。如果请求是通过接入点发出的，则该请求必须来自亚马逊 VPC，否则 Amazon S3 将拒绝该请求。

您可以使用 Amazon CLI、 Amazon SDKs或 REST 检索接入点的网络来源 APIs。如果接入点指定了 Amazon VPC 配置，则其网络来源为`VPC`。否则，接入点的网络起源为 `Internet`。

**Example**  
***示例：创建仅限于 Amazon VPC 访问的接入点***  
以下示例在账户`amzn-s3-demo-bucket`中创建了一个名`example-vpc-ap`为存储桶的接入点`123456789012`，该接入点仅允许从 `vpc-1a2b3c` Amazon VPC 进行访问。然后，该示例验证新接入点是否具有 `VPC` 网络起源。  

```
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
   VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
   --s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
```

```
$ {
  {
     "S3AccessPointAttachment": {
        "Lifecycle": "CREATING",
        "CreationTime": 1728935791.8,
        "Name": "example-vpc-ap",
        "OntapConfiguration": {
            "VolumeId": "fsvol-0123456789abcdef9",
            "FileSystemIdentity": {
                "Type": "UNIX",
                "UnixUser": {
                    "Name": "my-unix-user"
                }
            }
        },
        "S3AccessPoint": {
            "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
            "Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
            "VpcConfiguration": { 
                "VpcId": "vpc-1a2b3c"
            }
        }
     }
  }
```

要将接入点与 Amazon VPC 配合使用，您必须修改亚马逊 VPC 终端节点的访问策略。亚马逊 VPC 终端节点允许流量从您的亚马逊 VPC 流向亚马逊 S3。他们有访问控制策略，用于控制如何允许 Amazon VPC 内的资源与 Amazon S3 交互。只有当 Amazon VPC 终端节点策略授予访问接入点和底层存储桶的访问权限时，才能通过接入点成功从您的 Amazon VPC 发送到 Amazon S3 的请求。

**注意**  
要使资源只能在 Amazon VPC 内访问，请务必为您的 Amazon VPC 终端节点创建[私有托管区域](https://docs.amazonaws.cn/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)。要使用私有托管区域，请[修改您的 Amazon VPC 设置](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)，将 [Amazon VPC 网络`enableDnsSupport`属`enableDnsHostnames`性和](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-dns.html#vpc-dns-support)设置为`true`。

以下示例策略声明配置了一个允许调用的 Amazon VPC 终端节点`GetObject`和一个名为`example-vpc-ap`的接入点。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
```

------

**注意**  
此示例中的 `Resource` 声明使用 Amazon 资源名称（ARN）指定接入点。

有关亚马逊 VPC 终端节点策略的更多信息，请参阅 Amazon VP *C 用户指南中的 Amaz* [on S3 网关终端节点](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)。